Sélection de l’actualité de la semaine

Hacking & Sécurité

Une douzaine de vulnérabilités affectent des millions de périphériques Bluetooth Low Energy (BLE)

Une équipe de chercheurs en cybersécurité a révélé l’existence de 12 vulnérabilités de sécurité majeures, appelées collectivement « SweynTooth », affectant des millions de smart devices compatibles avec le Bluetooth dans le monde entier. Les failles résident dans la façon dont les kits de développement logiciel (SDK) utilisés par plusieurs systèmes sur puce (SoC) ont mis en œuvre la technologie de communication sans fil Bluetooth Low Energy (BLE). Les attaquants situés à proximité physique des appareils vulnérables peuvent exploiter les vulnérabilités pour déclencher à distance des blocages, des plantages et même contourner la sécurité des produits BLE, leur permettant d’accéder en lecture ou en écriture arbitraire aux fonctions de l’appareil qui ne sont autrement autorisées que par l’utilisateur. Alors que l’équipe de chercheurs a informé dès l’année dernière les constructeurs affectés par la faille, parmi lesquels Samsung, FitBit et Xiaomi pour au moins 480 produits distincts, il semblerait que certaines de ces failles n’aient toujours pas été corrigées.

OpenSSH prend en charge les clés de sécurité FIDO/U2F

Avec la sortie d’OpenSSH 8.2, OpenSSH prend en charge les protocoles FIDO/U2F pour renforcer les procédures d’authentification. Les dispositifs pourront désormais être associés à deux types de clés exploitant la cryptographie sur courbes elliptiques (ECDSA P-256 et Ed25519). OpenSSH s’appuie sur un middleware, libfido2, pour gérer la communication avec les tokens FIDO sur USB (activé par défaut sur OpenBSD). En parallèle, OpenSSH retire SHA-1 de la liste des algorithmes acceptés pour signer des certificats. La désactivation de l’algorithme de signature ssh-rsa (qui dépend de SHA-1) est aussi en cours. En dépit des techniques de contournement existantes, l’utilisation de l’authentification multifactorielle (ou 2FA) reste un des moyens le plus simple et le plus sûr pour éviter le piratage de comptes personnels.

Apple rejoint la FIDO Alliance et sonne le glas des mots de passe

Alors que la version iOS 13.3 intégrait déjà la possibilité d’utiliser des Yubikey pour s’authentifier sur son navigateur Safari, le groupe a officiellement rejoint la Fast Identity Online Alliance (FIDO). Créée en 2012 par Google et Yubico, l’association regroupe la majorité des grands groupes du numérique (Amazon, ARM, Facebook, Intel, Microsoft, PayPal, Qualcomm, RSA, Thalès, et bien d’autres) afin d’établir des normes d’authentification pour réduire la dépendance excessive des utilisateurs à l’égard des mots de passe (sic). Le fait qu’Apple décide de rejoindre l’Alliance de manière officielle peut laisser supposer que, en s’appuyant sur l’image de marque dont bénéficie la marque auprès des consommateurs, l’utilisation de l’authentification multifacteurs va tendre à s’imposer comme standard de sécurité et ainsi harmoniser les bonnes pratiques.

Un ransomware bloque les activités d’un opérateur gazier américain pendant plusieurs jours

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé le 18 février 2020 un incident lié à un ransomware affectant une installation de compression de gaz naturel chez un opérateur de pipeline américain (non identifié). L’attaque a touché le système d’information ainsi que les ICS de l’opérateur, provoquant une perte de maîtrise des infrastructures de transport de gaz, et le contraignant à forcer un arrêt des activités pendant deux jours pour en reprendre le contrôle. Les premiers éléments récoltés indiquent que l’attaque a été initiée via une campagne de phishing, contenant un ransomware (a priori Ryuk), qui a pu se propager sur l’ensemble du SI et des ICS en raison du manque de mesures de sécurité (compartimentation du réseau interne, notamment), de l’utilisation d’un OS unique (Windows), et du manque de préparation de l’opérateur pour gérer la crise (pas de PCA/PRA spécifique à la cybersécurité). L’attaque ne semble avoir touché qu’une installation de compression de gaz naturel appartenant à l’exploitant du pipeline. Les dispositifs ICS touchés comprenaient l’historique des données, des dispositifs d’interface homme-machine (IHM), mais le ransomware ne s’est pas propagé aux dispositifs de couche 1 ou inférieurs, tels que les contrôleurs logiques programmables (PLC), qui ne fonctionnaient pas sous Windows.

Emotet se propage par SMS et cible des authentifiants bancaires

Pas une semaine sans que l’on ne parle d’Emotet ; alors qu’une analyse récente indiquait que le Trojan pouvait utiliser les connexions WiFi pour se propager, une nouvelle version du malware, découverte par les chercheurs de la X-Force d’IBM, indique que le programme malveillant se diffuse maintenant via les SMS. L’attaque utilise la technique du phishing pour inciter les victimes à accéder à un site web usurpant l’identité de banques légitimes (site avec un TLD différent) et à entrer leurs authentifiants personnels. Une fois cette première étape réalisée, les victimes sont incitées à télécharger un document avec des macros malveillantes, contenant des scripts PowerShell créant une connexion vers les serveurs C&C d’Emotet.

INA, le premier groupe pétrolier de Croatie, frappé par un ransomware

Une attaque de ransomware a perturbé les opérations du groupe INA, la plus grande société pétrolière de Croatie et sa plus grande chaîne de stations-service. Comme le groupe l’indique dans un communiqué, l’attaque a « désactivé le bon fonctionnement de certains des systèmes informatiques, ce qui pourrait de temps à autre affecter les opérations normales, par exemple l’émission de coupons mobiles, de vignettes électroniques, de paiements par les services publics ». Pour autant, le groupe assure que l’approvisionnement en pétrole n’est pas affecté, et que les stations-service continuent de fonctionner. Selon ZDNet, le groupe INA a pu être victime du ransomware CLOP ; en effet, depuis mars 2019, le groupe derrière le ransomware a changé de stratégie pour devenir ce que les chercheurs en sécurité appellent un «rançongiciel de gros gibier», un terme désignant des groupes criminels qui ciblent spécifiquement les entreprises pour infecter leurs réseaux, chiffrer les données et demander des rançons extrêmement importantes.

Les dommages causés par les ransomwares ont atteint 11,5 milliards de dollars en 2019

Selon le rapport de Deep Instinct, les attaques de ransomwares sont devenues plus ciblées en 2019, privilégiant les organisations plutôt que les individus. Le rapport « Cyber Threat Landscape Report » attribue le changement de cible des ransomwares à l’intérêt croissant des organisations criminelles, d’abord motivées financièrement. Par conséquent, le coût moyen par attaque s’élève à environ 141 000 $ par attaque, contre 46 800 $ un an plus tôt. Sodinokibi, était la principale version de ransomware utilisée en 2019, responsable d’attaques telles que celle qui a frappé 22 municipalités au Texas.

McAfee réussit à hacker le 2016 modèle «S» et 2016 modèle «X» Tesla utilisant la caméra MobilEye

McAfee Advanced Threat Research a publié les résultats de leurs travaux de « Model Hacking » sur le système de caméras MobilEye, largement déployé et utilisé aujourd’hui sur plus de 40 millions de véhicules, y compris les modèles Tesla qui implémentent le Hardware Pack 1. Le « Model Hacking » utilisé par McAfee ATR, utilise l’adversarial machine learning, un concept d’exploitation des faiblesses universellement présentes dans les algorithmes d’apprentissage automatique pour obtenir des résultats négatifs. S’appuyant sur les travaux précédents réalisés dans le domaine, ils se sont penchés sur les méthodes d’attaque des systèmes de classification d’images d’apprentissage automatique utilisés dans les véhicules autonomes, en mettant l’accent sur les erreurs de classification des panneaux de signalisation. L’objectif des « attaques » est alors de viser une classification erronée spécifique, qui ne prescrivent pas comment une image est incorrectement classifiée, mais seulement qu’elle est incorrectement classifiée. Les équipes de McAfee ont ainsi réussi à traiter des attaques numériques extrêmement efficaces qui « pourraient provoquer des erreurs de classification d’un classificateur très robuste, conçu pour déterminer avec une grande précision et une grande exactitude ce qu’il regarde, approchant la confiance à 100% ». Les équipes ont élargi leurs efforts pour créer des autocollants physiques qui modélisent le même type de perturbations, ou des modifications numériques de la photo d’origine, déclenchant des faiblesses dans le classificateur et provoquant une classification erronée de l’image cible. Ils ont poussé leurs travaux jusqu’à chercher à reproduire des attaques dont les fonctionnalités et les propriétés sont suffisamment similaires pour que le modèle des attaques, qui sont entraînées et exécutées en boîte blanche, i.e. des systèmes open source, puissent se reproduire avec succès sur des systèmes en boîte noire, ou des systèmes entièrement fermés et propriétaires, i.e. les systèmes utilisés par Tesla. Leur modèle a réussi, puisque les équipes ont dupé les systèmes MobilEye (Tesla hardware pack 1, mobilEye version EyeQ3) et ont contourné une limitation de vitesse de 50m/h, grâce à un simple bout de ruban adhésif noir. Les équipes de McAfee ont fait part de leurs résultats à Tesla et MobilEye, qui ont depuis corrigé cette vulnérabilité sur les dernières versions des véhicules.

Le domaine de la santé reste fortement vulnérable à BlueKeep

Près d’une année après la découverte et la correction de cette vulnérabilité affectant les systèmes Bluetooth, des chercheurs pointent sa prévalence dans le domaine médical. Selon eux, près de la moitié des appareils d’un centre hospitalier type tournant sous Windows reste vulnérable à cette attaque. Ce constat est d’autant plus alarmant que cette vulnérabilité est « wormable », c’est à dire exploitable sans interaction. Elle peut ainsi conférer à un code malveillant la capacité à se répliquer automatiquement et à infecter l’ensemble des appareils présents sur le système d’information. Cette caractéristique peut faire craindre une attaque de grande ampleur, comparable à Wannacry ou NotPetya.

Géopolitique

La Russie bloque Tutanota

Après ProtonMail et ProtonVPN, les autorités Russes bloquent désormais Tutanota, qui permet aux utilisateurs d’avoir accès à un service de messagerie chiffrée et sécurisée. Or, depuis l’entrée en vigueur de la loi « Russia’s Sovereign Internet », les autorités Russes imposent aux fournisseurs de services numériques de migrer leurs données impliquant des citoyens russes et les données entrant, sortant ou transitant par les infrastructures russes vers des serveurs localisés en Russie. Les entreprises qui refusent font l’objet de sanctions financières ou de blocages, comme c’est le cas pour Tutanota.

AZORult se propage en tant que faux installateur de ProtonVPN

Vous souvenez-vous de la décision du Roskomnadzor, le Service fédéral de supervision des communications, des technologies de l’information et des médias de masse, de bloquer l’accès aux services de messageries et de VPN de Proton en Russie ? Les laboratoires de Kaspersky alertent sur le fait que depuis cette décision, le malware AZORult se propage massivement en usurpant l’identité du service ProtonVPN et installe des logiciels malveillants via de faux installateurs ProtonVPN pour Windows. Pour rappel, AZORult est un cheval de Troie qui vole diverses données sur les ordinateurs infectés et les envoie au serveur C&C ; parmi les données ciblées se trouvent l’historique du navigateur, les informations de connexion, les cookies, les fichiers des dossiers spécifiés par le serveur C&C (par exemple, tous les fichiers TXT du dossier Desktop), les fichiers cryptowallet, etc. Le malware peut également être utilisé comme vecteur pour installer d’autres logiciels malveillants. Kaspersky Lab note que depuis le début de 2019, les utilisateurs en Russie et en Inde sont les plus ciblés. Enfin, fait notable, Kaspersky souligne que les attaquants ont enregistré un domaine sous le nom protonvpn[.]store, via un registraire de nom de domaines basé en Russie, dès novembre 2019, alors que l’interdiction d’utilisation des services Proton est effective depuis la fin janvier. Hasard chanceux ?

Guillaume Poupard : « Dans l’avenir, l’offensif et le défensif devront travailler ensemble »

ZDNet propose un entretien avec Guillaume Poupard ; sont évoqués les questions de la convergence des actions de défense, les activités du CertFR, les rapports de l’ANSSI avec les OIV, ainsi que les évolutions de prérogatives de l’Agence. Le changement dans la continuité, en somme.

L’Europe dévoile sa grande stratégie en matière d’intelligence artificielle

Le Groupe d’Experts de haut niveau sur l’Intelligence Artificielle de la Commission Européenne a publié son Livre Blanc sur l’IA. Le document décrit les risques liés à l’utilisation de la technologie, mais également les opportunités qu’elle représente pour les États membres. Toutefois, l’agenda politique de l’UE sur la publication de ce Livre Blanc laisse les membres du Groupe d’expert dubitatifs ; ceux-ci, plutôt insatisfaits du rapport en l’état, entendent donc publier leurs recommandations dans quelques mois.

Données personnelles

Une application d’impression de photo expose 100 000 utilisateurs à une fuite de données personnelles

L’application PhotoSquared, qui permet aux utilisateurs de commander des impressions de photos prises avec leurs smartphones, a exposé 100 000 utilisateurs à une fuite de leurs données personnelles. L’équipe de vpnMentor, qui travaille à un projet de « cartographie d’Internet », a découvert que la base de données incriminée de PhotoSquared était hébergée sur AWS, à l’aide d’un compartiment S3 avec le nom de l’entreprise dans l’URL de la base de données. La base de données exposée contenait ainsi près de 95 GB de données personnelles, parmi lesquelles : des photos personnelles, des bons de commande, des bons d’expéditions, i.e. les noms et adresses personnelles des utilisateurs.

Les données personnelles de 10.6 millions de clients des hôtels MGM dérobées et exposées par des hackers

La chaîne d’hôtels américaine MGM Resorts a été victime d’un piratage de la base de données de ses clients, l’été dernier, exposant les données personnelles de plus de 10,6 millions de personnes. Les hackers à l’origine de l’attaque ont publié le leak sur un forum cette semaine ; contactée par ZDNet, MGM Resorts affirme qu’ils ont découvert l’incident dès l’été dernier et en ont averti les clients concernés ainsi que les autorités compétentes. Parmi les données exposées, les noms, les adresses personnelles, les numéros de téléphone, les adresses email personnelles ou encore les dates de naissance ont fuité. Toutefois, MGM Resorts indique qu’aucune donnée bancaire ou relative aux cartes de paiement ni de mots de passe n’a été dérobée.

Marché & industrie

Dell revend RSA Security à un consortium dirigé par Symphony Technology Group pour $2.1 milliards

Dell Technologies a annoncé aujourd’hui qu’il vendait la société de sécurité RSA pour 2,075 milliards de dollars à un consortium d’investisseurs dirigé par Symphony Technology Group. Les autres investisseurs sont le Conseil du Régime de retraite des enseignantes et des enseignants de l’Ontario et AlpInvest Partners. Le consortium rachète ainsi la RSA Conference, ainsi que l’ensemble des produits RSA. Dell a annoncé vouloir se concentrer « stratégie visant à intégrer une sécurité automatisée et intelligente dans l’infrastructure, les plates-formes et les appareils pour assurer la sécurité, la protection et la résilience des données ». Les deux parties espèrent conclure la transaction d’ici le Q3 2020, après avoir reçu l’approbation des autorités réglementaires compétentes. Les termes exacts du contrat n’ont pas encore été divulgués.

Câble sous-marin Dunant (Google) : le partenariat gagnant-gagnant d’Orange et Telefónica

Orange et Telxius, filiale du groupe espagnol Telefónica, ont conclu un accord pour collaborer à l’extension du câble sous-marin Dunant, reliant la France et les Etats-Unis. Celui-ci sera en service d’ici à la fin de l’année et permettra de mieux répondre aux besoins de trafics entre les deux continents. Les deux opérateurs pourront profiter d’une capacité de 30 TB/s.

L’ANS publie la doctrine technique du numérique en santé

L’Agence du numérique en santé (ANS, ex-Asip santé) a publié la doctrine technique du numérique en santé sur son site internet après plusieurs mois de concertation publique. Le document décrit le cadre technique et le cadre d’urbanisation dans lequel devront s’inscrire les services numériques d’échange et de partage de données de santé et sera mis à jour annuellement. Le document, qui n’a pas de valeur réglementaire, comporte une synthèse, un macro-planning, un schéma d’architecture cible et 26 chapitres classés selon les orientations de la feuille de route du numérique en santé portant sur les fondations et référentiels socle, les services numériques socles, les plateformes numériques de santé et les modalités de soutien aux acteurs et à l’innovation.

Y’a plus, je laisse ?

Votre enfant est-il un méchant hacker ?

Les forces de l’ordre de l’Unité régionale de lutte contre le crime organisé des West Midlands (WMROCU), en Angleterre, ont distribué une affiche permettant « d’aider les parents » à savoir si leurs enfants s’adonnent à des activités de vilains pirates informatiques ; en cas de découverte de Tor, VMWare, ou d’une distribution Kali Linux sur l’ordinateur de votre adorable bambin, n’hésitez plus braves parents, appelez les autorités locales des West Midlands afin qu’elles vous « donnent des conseils et vous aident à les (vos enfants) orienter vers des activités positives ». Contactées depuis par les médias, ni la WMROCU ni la National Crime Agency (NCA) du Royaume-Uni n’ont assumé cette campagne de « sensibilisation ».

L’inventeur du Copier / Coller n’est plus

Larry Tesler, l’inventeur des commandes informatiques Ctrl+C et Ctrl+V, mais également des fonctions « rechercher & remplacer » est décédé ce lundi à l’âge de 74 ans. Merci pour tout, Larry.